SAPシステムのセキュリティを一定のレベルに保つためには、SAPのベストプラクティスや自社のセキュリティ方針などを踏まえたセキュリティベースライン(すべてのSAPシステムに適用すべきセキュリティ設定)を定義・適用する事が有効な手段となります。
セキュリティベースラインテンプレート
セキュリティベースラインの検討を具体的に進めるための情報として、SAPではセキュリティベースラインテンプレートを提供しています。
セキュリティベースラインテンプレートは
Secure Operation Mapの構成をもとに作成されており、主にSecure Operation MapのSystemレイヤおよびApplicationレイヤを中心に、具体的な設定のサンプル定義を提供しています。
セキュリティベースラインテンプレートでは定義内容を [Critical]、[Standard]、[Extended] の3種類で分類しています。
全てのセキュリティ定義を検討・適用するには負荷が大きい場合は、まず [Critical] および [Standard] について検討・適用を行った上で、[Extended]について適用要否を検討し適用を進めていくことをお勧めします。
具体的な例としてSecurity Baselineテンプレート V2の2.2.1章を見てみましょう。
2.2.1章は本番システムに対する変更を保護するための設定例を示しています。
a) の SE06 のシステム変更設定と b) の SCC4 のクライアント設定は [Critical] に分類されています。
システム変更設定およびクライアント設定はシステムおよびクライアントに対する変更を直接的に制限するための設定であり、これらの設定の有無がセキュリティに直結しているため、[Critical]となります。
システム構築時(本稼働前)にはシステムへの修正や移送などが発生するため、多くの場合、システムへの変更は制限されていません。本稼働後にはこれらの設定を有効にすることが推奨されますが、稀に適切な設定がされないまま運用されているケースも見受けられます。
この設定は、システムに対する予期せぬ変更を防止するために大変重要な設定であり、監査でも確認されるポイントの一つであるため、必ず実施頂く事をお勧めします。
c) のプロファイルパラメータrec/clientの設定は[Standard]に分類されています。
この設定はカスタマイジング設定(クライアント依存テーブル)に対する変更ロギングの有効/無効を設定するパラメータで、変更に対する発見的コントロール設定となります。この設定によりシステムへの変更が直接制限されるわけではありませんが、変更の履歴を取得するために重要な設定であるため、[Standard]となっています。
このパラメータでテーブルロギングを有効化する場合は、パフォーマンスへの影響を最小限にするため、ロギング対象のクライアントを本番クライアントに限定して設定することをお勧め致します。
d) の移送パラメータRECCLIENTの設定は [Extended] に分類されています。
カスタマイジングの変更は移送によっても発生する場合もあります。移送パラメータRECCLIENTを設定することで、上記 c)のロギングに加えて、移送によるカスタマイジングテーブルへの変更をロギングする事ができます。
こちらもパフォーマンスへの影響を抑えるためにロギング対象のクライアントを本番クライアントに限定して設定することをお勧め致します。
移送パラメータRECCLIENTについては [Extended] に分類されていますが、システムに対する変更をロギングするという観点では SAPノート163694 - R3trans: Logging table changes にも記載のとおり、c)の設定とともに、d)の設定も実施頂く事をお勧めします。
このように、セキュリティベースラインテンプレートでは、セキュリティ設定上重要なポイントに対して、どのようなセキュリティ設定をすべきかを具体的に記載されており、詳細なレベルでの検討を行う事ができます。
まとめ
セキュリティベースラインテンプレートにはSAPベストプラクティスに基づいた、具体的なセキュリティ設定例が示されています。
セキュリティベースラインテンプレートの値と自社のセキュリティ方針と照らし合わせ、現在の設定の妥当性確認やセキュリティベースライン(全システムに適用すべきセキュリティ設定)の決定・適用を行う事でSAPシステムのセキュリティを一定レベルに保つことができます。
セキュリティベースラインテンプレートの各定義はSAPのベストプラクティスをベースにしていますので、自社のセキュリティ方針との齟齬がなければ、このまま適用頂く事が可能です。
もちろん、セキュリティベースラインテンプレートはあくまでもテンプレートであるため、自社のセキュリティ方針にそぐわない部分がある場合は、適切な定義に変更頂ければ結構です。
その場合は、SAPが推奨するセキュリティベストプラクティス設定はどのようなものなのかをご理解頂いた上で、自社では何を採用して、何を採用しない事に決定したのか、SAPの推奨値を適用しなかったことで残存リスクがあり、どのような代替コントロールを適用しているのかを把握することも重要なポイントとなります。
参考情報
2253549 - The SAP Security Baseline Template
SAP CoE Security Services - Security Baseline Template Version 2.2 (including ConfigVal Package CV-2...
セキュリティホワイトペーパー
SAPセキュリティノート
Secure Operation Map のご紹介 (Community blog 記事)